Archivo para 20 agosto, 2009
Preguntas frecuentes sobre Induc
agosto 20, 2009 2:12 pmComo reportamos hace ayer, un nuevo tipo de amenaza está siendo propagada a través del lenguaje de programación Delphi y es detectado por ESET NOD32 como Win32/Induc.A virus.
Ante la gran cantidad de consultas recibidas, hemos preparado la siguiente FAQ (Freguntas Frecuentes) sobre este virus.
1. ¿Qué significa si un archivo es detectado por ESET NOD32 como Win32/Induc.A?
Significa que el archivo contiene una porción de código que posee rutinas para modificar los archivos del lenguaje de programación Delphi y que, posteriormente, todas las aplicaciones compiladas en dicho sistema también contendrán el virus.
2. ¿Qué daños puede sufrir mi sistema si ejecuto el archivo infectado?
El virus no es destructivo. Para los usuarios Induc no es una amenaza para preocuparse. Para los programadores, se trata de una amenaza importante: cualquier aplicación que se compile posterior a la infección, contendrá el código del virus y será maliciosa en los sistemas que se ejecute.
3. ¿Qué modificaciones realiza el virus en mi sistema?
En los sistemas que no poseen instalado Delphi, no se realiza ninguna modificación.
En los sistemas de desarrolladores, con Delphi instalado, el virus realiza las siguientes acciones:
- Copia el archivo SysConst.pas en la carpeta %delphirootdir%\Lib\
- Modifica el nuevo archivo SysConst.pas
- Recompila el archivo SysConst.pas generando un nuevo archivo (ahora infectado) %delphirootdir%\Lib\SysConst.dcu
Este último archivo es utilizado en las futuras compilaciones y todos los programas que se generen a futuro también lo estarán.
4. ¿Cómo puedo saber si mi instalación de Delphi está infectada?
En primer lugar, si las aplicaciones compiladas son detectadas por el antivirus como Win32/Induc.A virus, es porque el sistema está infectado.
Para realizar un chequeo manual, existen dos alternativas. En primer lugar, puede buscarse en las aplicaciones compiladas o en el archivo SysConst.pas. Si se encuentra, el sistema está infectado.
En segundo lugar, el código malicioso hace un backup del archivo SysConst.dcu antes de modificarlo. Si el usuario accede a la carpeta donde se aloja este archivo debería observar dos archivos de extensión BAK (el original) y DCU (el malicioso) respectivamente, y estos deben diferir en su tamaño (el malicioso debe tener mayor peso):
5. ¿Cómo puedo arreglar mi instalación de Delphi?
Para arreglar la instalación de Delphi, debe borrarse el archivo sysconst.dcu modificado y colocar nuevamente el archivo de backup (extensión BAK) con el nombre original.
Otra alternativa es recompilar el archivo PAS original para generar el DCU con el siguiente comando (se recomienda por su simpleza la acción anterior):
"%delphi rootdir%\Bin\dcc32.exe" "%delphi rootdir%\source\rtl\sys\SysConst.pas"
6. ¿Cómo puedo arreglar las aplicaciones compiladas infectadas?
Las aplicaciones que hayan sido compiladas con el sistema infectado, y por lo tanto se encuentren infectadas; deben ser compiladas nuevamente una vez arreglado el sistema (pregunta 5).
Cristian
Una nueva amenaza está siendo propagada en las últimas horas y es detectada por ESET NOD32 como Win32/Induc.A virus. En las primeras 24 horas de la aparición de este código malicioso, nuestro sistema estadístico de malware, ThreatSense.Net, ha detectado más de 30 mil archivos modificados por esta amenaza.
Lo novedoso de este código malicioso radica en que esta infecta inicialmente los archivos del lenguaje de programación Delphi, para que cada aplicación que se genere con este lenguaje sea modificado con el código del malware. Esto significa que cualquier empresa o desarrollador que tenga su sistema infectado y luego compile una aplicación nueva, esta contendrá el malware.
La siguiente imagen resume el comportamiento del virus:
El funcionamiento del código malicioso parece referir a una prueba de concepto (PoC), ya que no posee rutinas dañinas ni instrucciones destructivas, sino únicamente las modificaciones en el lenguaje para continuar con la reproducción del malware en diversos sistemas.
Delphi es un lenguaje de programación muy utilizado, especialmente en sistemas que requieran bases de datos robustas y mucho procesamiento de información, como bancos u organizaciones financieras. De esta forma, las empresas que se dediquen al desarrollo de aplicaciones y utilicen este lenguaje de programación, se verán muy afectadas, ya que de tener sus sistemas infectados, todas las aplicaciones que generen para sus clientes tendrán código malicioso embebido, y serán detectadas como amenazas por el antivirus.
En el día de la fecha, Juraj Malcho, líder del laboratorio de ESET en Slovakia, nos comentaba que: “en el primer periodo de aparición de la amenaza, cuando el virus aún no era detectado, logró infectar un número importante de sistemas. Con la detección, muchas empresas se nos acercaron indicando que la detección de sus aplicaciones eran falsos positivos, cuando en realidad esto no es así”.
Por este motivo es importante que aquellos que se dediquen al desarrollo en lenguaje Delphi, conozcan esta amenaza y aseguren sus sistemas para no sufrir este problema, que no se debe a un falso positivo, y puede dañar la reputación de la empresa y los profesionales, además de contribuir con la propagación de Induc.
La amenaza continuará su propagación y es de esperar que otras funcionalidades sean incluidas en nuevas variantes, o futuras amenazas; incluso con capacidades más destructivas, o afectando otros lenguajes de programación.
Otra cosa curiosa e irónica que ha ocurrido es que ya hemos detectado otros troyanos compilados en Delphi e infectados con este virus, lo cual significa que el desarrollador del troyano había sido infectado previamente.
El Laboratorio de ESET agradece a los desarrolladores que han colaborado en el reporte y pruebas de conceptos realizadas para realizar este informe.
Sebastián
Actualización: puede obtner más información sobre esta amenaza en Preguntas frecuentes sobre Induc
